怎樣能讓您的 DHCP伺服器更安全
現在規模稍大的企業網,一般都使用DHCP伺服器為客戶機統一分配TCP/IP配置信息。這種方式不但減輕了網管人員的維護工作量,而且企業網的安全性也有了一定的提高。但DHCP伺服器的安全問題卻不容小視,它一旦出現問題,就會影響整個網路的正常運行,如何加強對DHCP伺服器的管理呢?其實簡單的幾步就可以實現。
一、啟用DHCP審核記錄
在DHCP伺服器中到底發生了什麼事情,管理員單靠肉眼是無法察覺的,最簡單的方法是查看Windows日誌,但這時一定要確保啟用了DHCP伺服器的「審核記錄」功能,否則,就無法在事件查看器中找到相應的記錄。
筆者以Windows 2000伺服器為例,依次點擊「開始→程序→管理工具→DHCP」后,彈出DHCP控制台窗口,右鍵點擊你的伺服器,在菜單中選擇「屬性」,彈出屬性設置對話框,切換到「常規」標籤頁(如圖1),確保一定要選中「啟用DHCP審核記錄」選項,最後點擊「確定」按鈕。
這樣就啟用了DHCP伺服器的審核記錄,它的日誌文件默認保存在「C:WINNTSystem32dhcp」目錄下。為了防止「不法之徒」惡意刪除日誌,可以修改DHCP日誌文件的存放路徑。切換到「高級」標籤頁(如圖2),點擊「審核日誌路徑」欄的「瀏覽」按鈕,指定新的日誌文件存放位置,接著,使用相同的方法,修改「資料庫路徑」,最後點擊「確定」。這樣,我們的DHCP日誌就更加安全了。
二、指定DHCP管理用戶
在企業網中,為了加強對DHCP伺服器的管理,網路管理員要指定一個或若干用戶對DHCP伺服器進行管理。如筆者要指定賬號名為「CCE」的用戶能夠對DHCP進行管理,在Windows 2000伺服器中,進入到「控制面板→管理工具」,運行「Active Directory 用戶和計算機」工具,在彈出的窗口中,點擊「Users」選項,接著在右側框體中找到「DHCP Administrators」項,右鍵點擊,選擇「屬性」,彈出「DHCP Administrators屬性」對話框,切換到「成員」標籤頁,點擊「添加」按鈕,將「CCE」用戶添加到列表框中,最後點擊「確定」按鈕,這樣「CCE」用戶就能夠管理DHCP伺服器了。
三、對DHCP管理用戶限制
如果網路管理員意外出現誤操作,將其他的用戶加入到DHCP管理組,那麼這些用戶也會擁有對DHCP伺服器的管理許可權,這種情況的發生同樣會影響DHCP伺服器的安全。如何對這些DHCP管理組用戶進行限制呢?何不利用域安全策略,給DHCP伺服器加個「雙保險」。
如筆者只允許DHCP管理組的CCE用戶,對DHCP伺服器擁有管理許可權,而其他用戶只有「只讀」許可權。進入到「控制面板→管理工具」,運行「域安全策略」工具,彈出安全策略控制台窗口,接著依次展開「Windows 設置→安全設置→受限制的組」,然後在右側框體中的空白處單擊右鍵,選擇「添加組」,彈出添加組對話框,在欄中輸入「DHCP Administrators」后,點擊「確定」按鈕。
然後右鍵點擊「DHCP Administrators」,選擇「安全性」,彈出配置成員身份對話框,接著點擊「添加」按鈕,將「CCE」用戶添加到成員列表中,最後點擊「確定」。
通過以上三步操作后,我們的DHCP伺服器就更加安全了,有興趣的朋友,不妨一試!
[admin via 研發互助社區 ] 怎樣能讓您的 DHCP伺服器更安全已經有3221次圍觀
http://cocdig.com/docs/show-post-67.html
